~攻撃は最大の防御なり~正解のない対策を斜めから斬る

長期休暇前のセキュリティ的お約束と休み明けにビックリした事例

»

2018年もあと数日です。最近(と言っても10年弱w)時間のスピードが急激に速くなってきていて...と、わかる人にはわかるはず(爆)

長期休暇の前に言われる「セキュリティお約束」があります。もうほとんど中身的に変わってないのですが、何度もしつこく言わないと中々浸透しないが現実です。

ここで言われるセキュリティは、ウィルス対策や、詐欺メール等々...外部から内部に向けた脅威が主なものです。これこれでキッチリ対応しておきたいものです。今日は長期休暇明けの別な脅威について書いてみます。

お約束のセキュリティ

IPAのサイトを参照下さい。

年末年始における情報セキュリティに関する注意喚起

長期休暇における情報セキュリティ対策

今年はカレンダー的に休みが長い傾向にあります。長いとこでは12月28日(金)~1月7日(月)くらいまでの10日間超くらいになります。年によってはもっと短いです。この長期はゴールデンウィークくらいでしょうが、それより多くの企業で長期休暇となるのが今回です。

せっかくの機会なので、是非リンク先のIPAサイトを参照下さい。

セキュリティの脅威は外部からとは限らない

それでも圧倒的に外部からやってきますよ。でも、別けずに360度の全方向へ目を向ければ、また違った風景が見えてくるものです。ここでは長期休暇などの後に起きた深刻な事例を2つ紹介します。

事例1.年明けに担当者が来なかった

状況:30名規模の企業で、今で言う「1人情シス」のような役割。本人の希望ではなく、単にその中で一番詳しかったからという理由で選任

原因:社内で起こるIT関連は全部彼に任せっきりでした。よく言えば頼られていたのですが、逆の言い方ではすべての情シスっぽい案件から、日頃のトラブルまで全部丸投げされていました。頼る側の30人対彼1人の負担は半端ない仕事量、ブラック臭が漂うような劣悪環境で・・・壊れてしまった。メールで連絡がきただけでした。

その後:何の引き継ぎや書類等、何もなかったが、特別データの破壊等もなくどうにか手探りで業務復旧が出来ました。

ポイント:対応事例と聞いた話も含めると、この事例は多く起きていると思います。共通するのは理解の出来る上司に恵まれなかったということと、権限もないのに業務だけ丸投げ(責任含め)されていること。情シスの業務がよくわからなくとも、情シス部分を自身の得意分野に置き換えて考えれば、どれ程最低な状況にあったのか...理解は難しくないと思います。

休み明けに大きなトラブルが起きなかったですが、これだけでも十分に大きなトラブルです。更に外部からのトラブルが起きていれば、状況はもっと悪くなってたことが容易に想像できます。

事例2.全部入りノートPCが盗難にあった

状況:休み中の休み期間中も業務が動いていた会社で、担当者が全部入りのノートPCを持ち帰ってしっかりと保管管理していた。

原因:持ち帰りの道中も飲食せず、自宅でもしっかりと管理されていた。車の中にバックを置いたまま30分買い物に行った間に盗難にあった。

その後:暗号化等もしっかり対策された状態で、漏洩した事実は確認されなかった。しかし関係各社、関連機関への報告をしなくてはならず信用などに影響が出ました。

ポイント:ちょっとした僅かな隙がほころんだ事例ですが、それ以外の対策も管理もしっかり出来ていました。結果だけで言えば、どれ程の対策や対応がされていても、一つの問題が起きれば事故となります。90点くらいの完璧に近いものでも、ちょっとのミスが残念です。

この事例と別ですが、PC内には何もデータがなかったにもかかわらず、漏洩したことがありました。クラウド上のストレージサービスを利用していて、その接続が繋がっていた事が原因となりました。これはデータ量がかなり広範囲に及びました。盗難紛失の直後にそれらのサービスを止めていれば、被害も最小限になっていました。

...一つ一つは小さな事ですが、積み重なってくると大きくなりますし、複雑に入り込んできまます。ブルースシュナイアーの言葉と同じです。地道な積み重ねです。

鎖はいちばん弱い輪以上に強くなれない

参考記事:恒例!お休み前のセキュリティなお約束できてますか?(気になるポイント

Comment(2)

コメント

iso

>権限もないのに業務だけ丸投げ(責任含め)されていること

これ、どこの経営者もやらかすのは何なんでしょうかね?
「ITって難しいしよくわかんないけど、それが出来る人なら権限なんてなくても何でも出来るよね?」とでも思ってるのでしょうか?
逆に権限がない人間があれこれナタをふるい始めても容認できるのでしょうか?
(私の経験ではまったく容認してもらえず叱責されましたが、その後別案件ではまた権限もらえず丸投げされましたんで転職しましたが)
言葉を飾らずに言っちゃうと、そんなことしてるからいつまでたってもうだつの上がらない中小企業なんじゃないの?と言い放ちたくなります。まあその程度の中小企業にしか転職できない自分も大したものじゃないんですけどね

isoさん、コメント有り難うございます。

>「ITって難しいしよくわかんないけど、それが出来る人なら権限なんてなくても何でも出来るよね?」とでも思ってるのでしょうか?

思っていると思います。

セキュリティに対する必要性は、世の中の流れやトレンド、話題など…で感じているはずなのですが、実行性が伴っていないように日々感じております。

やらなきゃならない ⇒ 身近にいる詳しい社員に頼む ⇒ 色々問題が出てきて報告される ⇒ それ自体を理解出来ない、リスクの大きさもよくわからないという理由で ⇒ 結果としてコストも時間も投入しない ⇒ 次に起きることは問題か事故くらい

これでは休み明けに限りませんが、ウンザリだし辞めたいですよね。
色々と悲劇な状況ですが、喜劇という言葉でしか説明がつかない状態と考えるようにしています。

コメントを投稿する